摘 要：隨著高校教學(xué)信息化系統(tǒng)的深入建設(shè)與擴展，教學(xué)信息化系統(tǒng)對日常教學(xué)的支撐和服務(wù)日益顯露出其重要性與必要性。新一代網(wǎng)絡(luò)安全技術(shù)和產(chǎn)品的引入對在現(xiàn)有網(wǎng)絡(luò)環(huán)境下加強教學(xué)信息化系統(tǒng)安全保證其安全穩(wěn)定運行給出了有益的幫助。本文從閩南師范大學(xué)教學(xué)信息化系統(tǒng)的安全建設(shè)的現(xiàn)狀和實踐出發(fā)就此問題進行研究和思考。

關(guān)鍵詞：教學(xué)信息化系統(tǒng);信息安全;態(tài)勢感知;行為管理

一、建設(shè)現(xiàn)狀

閩南師范大學(xué)教務(wù)處作為本校教學(xué)信息化系統(tǒng)的建設(shè)和管理單位多年來對教學(xué)信息化系統(tǒng)進行了持續(xù)的投入和建設(shè)，目前已初步建成了覆蓋“一江兩校區(qū)”的教學(xué)信息化系統(tǒng)。其中包括覆蓋兩校區(qū)所有教學(xué)樓和附屬設(shè)施的教學(xué)專用網(wǎng)絡(luò)和覆蓋全校238間教室的云多媒體教室系統(tǒng)，以及教務(wù)管理系統(tǒng)、教學(xué)可視化管理系統(tǒng)、音視頻信息發(fā)布系統(tǒng)、標(biāo)準(zhǔn)化考試巡考系統(tǒng)、智慧教學(xué)系統(tǒng)、在線教學(xué)直播錄播系統(tǒng)、教室物聯(lián)網(wǎng)管理系統(tǒng)等各種教學(xué)信息化應(yīng)用系統(tǒng)。其中教學(xué)專用網(wǎng)絡(luò)是閩南師范大學(xué)各大教學(xué)信息化業(yè)務(wù)平臺及教務(wù)處信息系統(tǒng)的基礎(chǔ)核心，是校園網(wǎng)的一個重要的子網(wǎng)。因為有大量為廣大師生服務(wù)的重要信息（數(shù)據(jù)）平臺，所以信息系統(tǒng)安全是網(wǎng)絡(luò)保護的核心。

在現(xiàn)有系統(tǒng)結(jié)構(gòu)下，閩南師范大學(xué)教學(xué)信息系統(tǒng)已穩(wěn)定運行多年。但隨著國家關(guān)于等級保護要求的提高以及信息系統(tǒng)在學(xué)校整體運行中的重要性日益提高，在現(xiàn)有教學(xué)專用網(wǎng)絡(luò)結(jié)構(gòu)和安全設(shè)備基礎(chǔ)上，實施重點保護，對各應(yīng)用系統(tǒng)深入開展信息安全保護工作，并在此基礎(chǔ)上指引后續(xù)信息化安全建設(shè)方向成為信息化系統(tǒng)建設(shè)新的工作重心。

二、現(xiàn)存問題

如閩南師范大學(xué)教學(xué)信息化系統(tǒng)拓?fù)鋱D所示，目前教學(xué)信息化系統(tǒng)全網(wǎng)使用RG-S8605E作為單獨核心，使用千兆光纖下聯(lián)RG-S2910接入交換機，由接入交換機接入RG-CT6300云桌面終端，其云桌面服務(wù)器及其他應(yīng)用系統(tǒng)服務(wù)器全部通過直連千兆電纜接入核心交換機部署。該拓?fù)浣Y(jié)構(gòu)較為簡潔，但因此帶來的問題十分明顯：

（1）全網(wǎng)拓?fù)浣Y(jié)構(gòu)中現(xiàn)有設(shè)備，使用目的均為保障日常辦公、教學(xué)業(yè)務(wù)的開展，專網(wǎng)網(wǎng)絡(luò)出口及各分區(qū)均無安全設(shè)備部署。雖然學(xué)校校園網(wǎng)絡(luò)出口有網(wǎng)絡(luò)安全設(shè)備，但隨著信息化發(fā)展，專網(wǎng)內(nèi)部各系統(tǒng)面臨的安全防護、應(yīng)用控制、安全連接等各類安全問題的解決迫在眉睫;

（2）在目前情況下無法對用戶日常使用各類應(yīng)用所產(chǎn)生的數(shù)據(jù)進行全面檢查和分析，對于可能存在的違規(guī)行為無法進行及時有效的深度識別、管控和審計;

（3）在網(wǎng)絡(luò)潛在攻擊和威脅層面，現(xiàn)有設(shè)備架構(gòu)無法對網(wǎng)絡(luò)流量進行審計，無法對重要原始網(wǎng)絡(luò)數(shù)據(jù)包的保存、威脅情報檢測、攻擊檢測等進行操作，對于各類高風(fēng)險的運維訪問協(xié)議，并在連接過程進行身份識別、行為分析、風(fēng)險鑒別。

三、建設(shè)思路及方案

（一）建設(shè)思路

根據(jù)閩南師范大學(xué)教學(xué)信息化系統(tǒng)的現(xiàn)狀和存在的問題，筆者及團隊從以下幾個角度出發(fā)進行思考，開展如何實行信息系統(tǒng)及配套網(wǎng)絡(luò)系統(tǒng)的安全建設(shè)改造，力求通過從整個系統(tǒng)頂層架構(gòu)的調(diào)整來解決現(xiàn)存的問題并為今后信息系統(tǒng)的建設(shè)做好準(zhǔn)備。

1.網(wǎng)絡(luò)架構(gòu)調(diào)整

通過在教學(xué)信息化專用網(wǎng)絡(luò)與校園網(wǎng)連接的邊界安全域部署防火墻，在各個安全域邊界部署防火墻實現(xiàn)各個安全域的邊界隔離和劃分，在防火墻上配置訪問控制策略對外部訪問和內(nèi)部數(shù)據(jù)訪問進行控制。防火墻可根據(jù)會話狀態(tài)信息，對源地址、目的地址、源端口、目的端口和協(xié)議等進行訪問控制，做到允許/拒絕訪問，控制力度可設(shè)置為端口級。

2.建立訪問控制體系

通過在安全區(qū)域邊界設(shè)置自主和強制訪問控制機制，應(yīng)對源及目標(biāo)計算節(jié)點的身份、地址、端口和應(yīng)用協(xié)議等進行可信驗證，對進出安全區(qū)域邊界的數(shù)據(jù)信息進行控制，阻止非授權(quán)訪問。

3.建立態(tài)勢感知系統(tǒng)

考慮在教學(xué)信息化專網(wǎng)內(nèi)部建設(shè)態(tài)勢感知系統(tǒng)，對專網(wǎng)內(nèi)部數(shù)據(jù)訪問進行動態(tài)監(jiān)控。該系統(tǒng)可根據(jù)采集的攻擊信息，對攻擊來源、目標(biāo)等進行統(tǒng)計和計算，對攻擊來源進行溯源，讓管理員對全網(wǎng)的攻擊態(tài)勢進行動態(tài)的跟蹤了解，以及時進行處置干預(yù)，保證網(wǎng)內(nèi)信息安全。

4.建設(shè)安全管理中心系統(tǒng)

安全管理中心是為提供集中安全管理功能的系統(tǒng)，是安全應(yīng)用系統(tǒng)安全策略部署和控制的中心，對安全通信網(wǎng)絡(luò)、安全區(qū)域邊界和安全計算環(huán)境上的安全機制實施統(tǒng)一集中管理。安全管理中以大數(shù)據(jù)框架為基礎(chǔ)，結(jié)合威脅情報系統(tǒng)，協(xié)助建立和完善對網(wǎng)絡(luò)內(nèi)部的安全態(tài)勢監(jiān)控、安全威脅實時預(yù)警、安全事故緊急響應(yīng)的能力，利用智能化預(yù)警協(xié)助管理員快速發(fā)現(xiàn)和分析安全問題，并通過技術(shù)手段，實現(xiàn)安全問題閉環(huán)管理。

（二）設(shè)備選型要求

1.下一代防火墻設(shè)備

網(wǎng)關(guān)類安全產(chǎn)品作為整個網(wǎng)絡(luò)安全架構(gòu)中的關(guān)鍵組成部分，承擔(dān)著安全防護、應(yīng)用控制、安全連接、多運營商鏈路加速等多維度的復(fù)雜任務(wù)，因此在建設(shè)中要求具備以下要求：

（1）采用CPU+ASIC硬件芯片融合技術(shù)，以此解決現(xiàn)在設(shè)備采用的傳統(tǒng)X86架構(gòu)在應(yīng)用層數(shù)據(jù)檢測方面存在的性能瓶頸問題;

（2）在支持NAT、ACL、DDoS防御等傳統(tǒng)安全功能的同時也應(yīng)支持多樣化的應(yīng)用級安全功能，包括病毒查殺、入侵檢測、APP檢測、文件過濾、惡意URL過濾等;

（3）可對大量的網(wǎng)絡(luò)應(yīng)用和地址進行快速識別，要求可識別超過3000個以上的互聯(lián)網(wǎng)應(yīng)用和超過2.5億個URL地址;

（4）可針對應(yīng)用、用戶、內(nèi)容關(guān)聯(lián)分析，審計全網(wǎng)的事件日志并通過數(shù)據(jù)分析處理，將事件日志分類、整合，提供潛在威脅的預(yù)警;

（5）支持與在線安全系統(tǒng)如線上云安全中心的聯(lián)動，可以在線獲取有效的針對未知威脅的防護方案，以便應(yīng)對超出傳統(tǒng)防御手段的威脅與攻擊。

2.上網(wǎng)行為管理設(shè)備

行為管理設(shè)備可以針對性的對系統(tǒng)和網(wǎng)內(nèi)用戶的數(shù)據(jù)訪問和分發(fā)等行為進行管控，對特征用戶進行預(yù)警和跟蹤，對信息化系統(tǒng)的內(nèi)部管理有重要的意義，因此從以下幾方面提出設(shè)備要求：

（1）可以精確識別用戶上網(wǎng)的URL、網(wǎng)絡(luò)搜索、外發(fā)文件、郵件、微博等，支持移動APP識別、用戶終端關(guān)聯(lián)無線AP MAC、SSID識別、HTTPS網(wǎng)頁及SSL加密郵件識別，可以進行全面的內(nèi)容審計精細(xì)透視網(wǎng)絡(luò)行為;

（2）需要支持用戶、協(xié)議、接口上下行流量管理，支持帶寬多級嵌套管理、上網(wǎng)應(yīng)用細(xì)分控制、上網(wǎng)總時長管理、會話控制，并可通過設(shè)置優(yōu)先級保障關(guān)鍵業(yè)務(wù)帶寬，實現(xiàn)多級帶寬管理;

（3）可以進行郵件收發(fā)管理和附件過濾、不良網(wǎng)站封堵、HTTP/FTP文件傳輸控制、搜索關(guān)鍵字過濾，異常流量檢測告警、異常行為檢測告警等精細(xì)化信息管理;

（4）要求具備上網(wǎng)行為審計許可及公共場所無線上網(wǎng)服務(wù)許可，滿足6個月以上的上網(wǎng)日志存儲要求，支持和上級網(wǎng)絡(luò)管理平臺數(shù)據(jù)對接;

（5）支持本地認(rèn)證、支持微信認(rèn)證、短信認(rèn)證、LDAP、Radius、AD域認(rèn)證，輕松滿足身份系統(tǒng)對接。

3.流量態(tài)勢感知系統(tǒng)

流量態(tài)勢感知設(shè)備可以進一步完善在網(wǎng)絡(luò)安全數(shù)據(jù)采集能力，在高速網(wǎng)絡(luò)環(huán)境下實行對主流網(wǎng)絡(luò)數(shù)據(jù)包的解碼、協(xié)議識別及會話重組/保存、重要原始網(wǎng)絡(luò)數(shù)據(jù)包的保存、威脅情報檢測、攻擊檢測等;對于相關(guān)重要的會話信息、攻擊檢測、威脅情報檢測等生成的安全事件轉(zhuǎn)發(fā)至BDS上層模塊作為進一步分析的數(shù)據(jù)來源，是對傳統(tǒng)安全防御系統(tǒng)的進一步完善和補充。其具體特點和選型要求有：

（1）要求采用零拷貝、全程無鎖化技術(shù)處理網(wǎng)絡(luò)流量數(shù)據(jù)包，利用CPU向量化指令對各類模式進行識別或匹配，保證在超大流量情況下，系統(tǒng)整體處理無延時;

（2）要求采用向量機、馬爾科夫轉(zhuǎn)移概率分析、距離分析、參數(shù)及非參數(shù)假設(shè)檢驗分析等智能分析方法對各類網(wǎng)絡(luò)連接及流量進行分析，對可能隱藏的問題進行深層級挖掘;

（3）可從已知簽名檢測、行為檢測、網(wǎng)絡(luò)會話異常檢測、威脅情報檢測及事件關(guān)聯(lián)分析等多個維度對URL、郵件、網(wǎng)絡(luò)通道、流量等威脅載體中各類安全威脅進行深度檢測，并在高級持續(xù)威脅的漏洞利用、后門植入、后門網(wǎng)絡(luò)通道，C&C回連、流量異常等多個階段、多個攻擊環(huán)節(jié)上形成比較縱深、完備的檢測體系;

（4）可對于HTTP、TLS、SMTP、POP3、IMAP、FTP、SMB、RDP、SSH、Telnet等應(yīng)用協(xié)議的元數(shù)據(jù)及會話數(shù)據(jù)，進行大數(shù)據(jù)存儲、搜索分析，識別、挖掘其中可疑的攻擊行為，進行安全分析效能持續(xù)改進。

結(jié)語

閩南師范大學(xué)教學(xué)信息化系統(tǒng)的安全建設(shè)方案依照“化被動為主動，防內(nèi)與防外并重”的思路進行了整體設(shè)計，通過安全設(shè)備的多層級多方位部署防御，將原來的被動防御和消極防御轉(zhuǎn)變?yōu)橹鲃臃烙谛畔⑾到y(tǒng)和專網(wǎng)的管理中掌握優(yōu)先權(quán)。管理員可以跟蹤用戶在服務(wù)器上的操作，防御黑客的入侵攻擊，加強安全網(wǎng)絡(luò)的防御，及加強高級威脅檢測能力。并通過“文件+流量”雙維度分析，完善各信息系統(tǒng)和專用網(wǎng)絡(luò)的“安全墻”，把網(wǎng)絡(luò)中的非法分子擋在墻外，也對內(nèi)部進行審計管理，將內(nèi)部的“病魔”驅(qū)除。

同時安全設(shè)備盡量采用旁掛方式部署，避免了整體方案因為安全加固而出現(xiàn)新的安全問題。建設(shè)的中心思想是要解決當(dāng)前安全問題，因此在增加安全設(shè)備為網(wǎng)絡(luò)保駕護航同時也考慮到安全設(shè)備造成的與校園網(wǎng)主連接出口單點故障風(fēng)險，通過網(wǎng)絡(luò)架構(gòu)和設(shè)備的合理配置盡量降低因物理鏈路原因而產(chǎn)生的新問題。

目前，以上建設(shè)方案已經(jīng)進入分期建設(shè)階段，第一期專用網(wǎng)絡(luò)改造調(diào)整和流量分析系統(tǒng)、網(wǎng)絡(luò)運維管理平臺等安全系統(tǒng)已經(jīng)采購安裝建設(shè)到位，完成經(jīng)費投入約200萬元。目前，已經(jīng)建設(shè)完成的系統(tǒng)和設(shè)備已經(jīng)在日常教學(xué)信息化應(yīng)用中發(fā)揮應(yīng)有的作用。

參考文獻(xiàn)：

[1]熊書明，王謙，吳繼英.基于物聯(lián)網(wǎng)的統(tǒng)計大數(shù)據(jù)安全采集系統(tǒng)構(gòu)建探索[J].統(tǒng)計與咨詢，2016.

[2]馬玉鵬.基于移動物聯(lián)網(wǎng)的安全生產(chǎn)系統(tǒng)構(gòu)建及評價分析[D].中國科學(xué)院大學(xué)，2015.

[3]傅川，陳云.高校信息系統(tǒng)安全體系研究與實踐[J].中山大學(xué)學(xué)報（自然科學(xué)版），2009（增刊）：16-18.

[4]劉輝，葛淑杰，韓微微.數(shù)字化校園信息安全防護體系的設(shè)計[J].通信技術(shù)，2009（2）：20-21.

[5]王延明，許寧.高校信息安全風(fēng)險分析與保障策略研究[J].情報科學(xué)，2014（10）：134-138.

[6]王宇.利用云桌面技術(shù)管理多媒體教室的應(yīng)用研究[J].中國校外教育，2014（8）.

基金項目：福建省中青年教師教育科研項目：云安全技術(shù)在云多媒體教室系統(tǒng)中的整合和運用（項目編號：JAT191920）

作者簡介：董征（1981— ），男，福建漳州人，碩士，閩南師范大學(xué)助理研究員，研究方向：現(xiàn)代教育技術(shù)。